Ein Blick in die Medien verrät viel über die "Compliance-Seele". Managementverfehlungen sind an der Tagesordnung – sei es in der Automobilbranche, im Bankenumfeld oder der Pharmaindustrie. Das widerspricht vielen Geschäfts-, Risiko- und Compliance-Berichten in den Unternehmen, die das Gefühl vermitteln es sei organisationsweit alles zum Besten bestellt. Dem widerspricht Dr. Josef Scherer, Professor für Unternehmensrecht, Risiko- und Krisenmanagement, Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk und Compliance der Technischen Hochschule Deggendorf, in Hinblick auf Pflichtaufgaben des Managements beim Thema Compliance.
Hat in den vergangenen Jahrzehnten eine Haftungsverschärfung stattgefunden? Lässt sich dies empirisch belegen?
Josef Scherer: Die "gefühlte" Verschärfung von Haftungs- und Sanktionsgefahren für Vorstände, Geschäftsführer, Aufsichtsräte und sogar Gesellschafter mit dem Vorwurf, pflichtwidrig gehandelt zu haben, ist objektiv messbar. Im 10-Jahreszeitraum 1986 bis 1995 gab es genauso viele Urteile zur Managerhaftung wie in den letzten 100 Jahren zuvor. Für die nachfolgenden 10-Jahreszeiträume 1996 bis 2005 und 2006 bis 2015 wurde eine nochmalige Verdoppelung gemessen beziehungsweise für die letzte Dekade geschätzt. Da sich der "Wind gedreht" hat und "Compliance-Verstöße unter Einbeziehung des D&O-Versicherers heute verstärkt geahndet werden" war die Organhaftung unter anderem auch Thema der wirtschaftsrechtlichen Abteilung des 70. Deutschen Juristentages 2014.
Juristen, unter anderem Bachmann oder Bayer (Autor von "Die Innenhaftung des GmbH-Geschäftsführers", GmbHR 2014, S. 897 ff.) statuieren, der GmbH-Geschäftsführer sehe sich tatsächlich immens existenzbedrohender persönlicher Risiken ausgesetzt und hafte – faktisch – sogar viel schärfer als ein Vorstand, weil Geschäftsführer in Mittelstandsunternehmen nicht über "vergleichbare Qualität an sachverständiger Beratung und Hilfestellung verfügen, die heute zur Abwehr rechtlich relevanter Sorgfaltsverstöße nach Maßgabe der höchstrichterlichen Rechtsprechung notwendig ist. Den Anforderungen, die heute an einen Geschäftsführer gestellt werden, lässt sich in der Praxis kaum gerecht werden". Sogar der im Großen und Ganzen pflichtbewusst Agierende sehe sich nicht nur mit zivilrechtlichen Risiken, sondern auch der Gefahr der Strafbarkeit immer häufiger bedroht.
Was ist unter einem Compliance-orientierten Governance-/Management-Ansatz zu verstehen?
Josef Scherer: Der – überwiegend von der betriebswirtschaftlichen "Management-" oder "Unternehmensführungs"-Literatur besetzte – Themenbereich des unternehmerischen Denkens und/oder Entscheidens bzw. Handelns ist längst – wenn auch nicht abschließend und umfassend – juristisch belegt: Es gibt Bereiche, wo das Verhalten (Denken/Entscheiden/Handeln oder Unterlassen) klar vorgegeben ist und gar kein Entscheidungs- (Ermessens)spielraum verbleibt: Die sogenannten "gebundenen Handlungen / Entscheidungen" aufgrund des Legalitätsprinzips, von Complianceanforderungen (die aufgrund selbst auferlegter Pflichten noch weitergehen können), einer "Ermessensreduzierung auf 0" (vgl. Entscheidungen bei sicheren Erwartungen oder wenn jeder vernünftige und gewissenhafte Entscheider nur in eine bestimmte Richtung entscheiden würde). Jedes abweichende Verhalten würde bereits eine Pflichtverletzung und damit wesentliche Voraussetzung für Haftung/Sanktion darstellen.
In den Bereichen mit Ermessenspielräumen hat die Legislative und Judikative bereits viele eindeutige Regeln des pflichtgemäßen Verhaltens von Managern aufgestellt. Zu beleuchten sind hier auch die Verhaltensweisen des Denkens als Vorgang, der dem Entscheiden vorgeschaltet sein sollte. Denken hat im Zusammenhang mit "unternehmerischen Entscheidungen" (§ 93 Abs. 1 Satz 2 AktG) viel mit Informationsmanagement und Psychologie (Vermeidung von kognitiven Verzerrungen und externer Manipulation) zu tun und unterliegt als wesentlicher Teil der Aufgaben des Managements bei der Leitung des Unternehmens dem Gebot der "Ordentlichkeit und Gewissenhaftigkeit", also nicht der Willkür, sondern der rechtlichen Überprüfbarkeit. Ebenso ist Entscheiden im Sinne des Unternehmens (nach pflichtgemäßer Abwägung auf der Basis angemessener (für die Zielsetzung ausreichender) Informationen) umfassend rechtlich auf Erkenntnis- und Beurteilungsebene durch das Gericht zu würdigen.
Würde zwingend vorgegebenes Verhalten unterlassen oder nicht in der richtigen Frist und Form erfolgen, stellte dies eine – evtl. auch strafrechtlich – haftungsbewehrte Pflichtverletzung (Compliance-Verstoß) dar. Es handelt sich hierbei um die so genannte "Legalitätspflicht" der Geschäftsleitung, die sowohl im Öffentlichen Recht als auch im Zivilrecht (str.) gilt.
Welche Rolle spielt im Kontext der Haftung die Sorgfaltspflicht eines gewissenhaften Kaufmanns?
Josef Scherer: Richtig, es ist stets auch an die Generalklauseln zu denken, dass ein Vorstand, Aufsichtsrat oder Geschäftsführer sich wie ein "gewissenhafter Geschäftsmann" zu verhalten hat. § 116 AktG verweist für Aufsichtsratsmitglieder auf § 93 AktG. Durch Weisungen, vertragliche Verpflichtungen etc., kann auch eine eigentlich freie Aufgabe zur Pflichtaufgabe werden.
Gesetzliche Anforderungen und Einzelfallrechtsprechung als Konkretisierung der "gewissenhaften Unternehmensführung" finden sich in allen Unternehmensbereichen, zum Beispiel im Vertrieb. So findet sich im Vertrieb, Antikorruptionsrecht, Arbeitsrecht, Außenwirtschaftsrecht, Geldwäscherecht, Gewerblicher Rechtsschutz (Markenrecht, Patentrecht, Lizenzrecht), Handelsrecht, Kartellrecht, Produktsicherheits- und -haftungsrecht, Steuerrecht, Transportrecht/Logistikrecht, Vertragsrecht, Werberecht, Wettbewerbsrecht oder Zollrecht. Daraus ergeben sich jeweils diverse zwingende Anforderungen in den jeweiligen Prozessschritten aus Gesetzen/Verordnungen und zusätzlich Einzelfallrechtsprechung (beispielsweise neue BGH-Rechtsprechung zur Organisation zur Vermeidung der Haftung für Wettbewerbsverletzungen).
Idealerweise enthält eine Prozessablaufdokumentation an den zutreffenden Stellen die jeweiligen Anforderungen und Arbeitshilfen (Musterdokumente, IT-Tools, Checklisten etc.) zur Erfüllung dieser Anforderungen. Damit wird die abstrakte und vermeintlich unüberschaubare Rechtswissenschaft konzentriert und konkret in Prozessabläufe eingebaut: So funktioniert Compliance ganz praxisorientiert.
Ein Verstoß gegen den "Anerkannten Stand von Wissenschaft und Praxis" im Kontext einer ordnungsgemäßen Unternehmensführung und -überwachung stellt eine Variante des pflichtwidrigen Verhaltens dar. Was ist jedoch unter dem "anerkannten Stand von Wissenschaft und Praxis" genau zu verstehen?
Josef Scherer: Was der jeweils anerkannte Stand von Wissenschaft und Praxis im konkreten Fall ist, wurde nur in den seltensten Fällen entweder bereits durch Gesetz und Rechtsprechung festgelegt.
Der "Anerkannte Stand von Wissenschaft und Praxis" in Bezug auf den Entwicklungsstand von Regeln, Eigenschaften, Verhaltensweisen, Methoden, Werkzeugen, Managementsystemen etc. im Zusammenhang mit Unternehmensführung und -überwachung bedeutet die "überwiegende Anerkennung durch die herrschende Meinung in der Wissenschaft als theoretisch richtig und durch die herrschende Meinung der einschlägigen anwendenden Praxis als bewährt".
Hier wäre beispielsweise zu fragen, ob (international) anerkannte Standards (beispielsweise ISO 31000:2008 (Risikomanagement), ISO 19600:2014 (Compliancemanagement) oder COSO I:2014 (Internal Control), IDW PS 980:2011 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen) oder COSO II:2004 (ERM) als sogenannte "antizipierte Sachverständigengutachten" existieren oder ob bezüglich dieser Fragestellung im Streitfall durch den Richter auf der Erkenntnisebene ein individuelles Sachverständigengutachten in Auftrag zu geben ist. Hierzu lässt sich feststellen, dass idealtypisch zustande gekommene Standards nach BGH und BVerwG eine Vermutungswirkung entfalten können, den "anerkannten Stand von Wissenschaft und Praxis" widerzuspiegeln. Daran dürfte es jedoch häufig fehlen: Standards bleiben oft in Teilbereichen gegenüber diesem "Anerkannten Stand" der "herrschenden Meinung" in Wissenschaft und Praxis zurück, das heißt, die Profis sind oft längst schon weiter.
Wichtig ist auch zu wissen, dass die Einhaltung des "anerkannten Standes von Wissenschaft und Praxis" – auch bezüglich Risiko- und Compliancemanagement keinen (!) Ermessensspielraum beinhaltet: Dieser Entwicklungsstand ist Minimum beziehungsweise Messlatte für Pflichterfüllung beziehungsweise Pflichtwidrigkeit. Wie diesem Entwicklungsstand Genüge getan wird dagegen, ist nicht dezidiert vorgegeben: "Viele Wege führen nach Rom!", das heißt, welche Methoden Verwendung finden, wird nicht vorgeschrieben. Es müssen aber angemessene Methoden sein.
Sofern nun kein gebundenes Verhalten vorliegt, kommt Ermessensspielraum für das Management in Betracht: Falls Ermessen gegeben ist, statuiert § 93 Abs. 1 S. 1 AktG einen schon längst anerkannten allgemeinen Grundsatz: Falls der Manager nun doch den vorliegenden, unter unsicheren Erwartungen oder Risiko zu entscheidenden Fall vollständig schon seitens der Judikatur/Rechtsprechung entschieden vorfinden könnte, ist er hier ausnahmsweise gebunden.
Ansonsten besteht für ihn lediglich die Obliegenheit, aus dem Gesetz heraus eine bestimmte Managemententscheidungsmethode anzuwenden, um das Tatbestandselement der Pflichtwidrigkeit entfallen zu lassen: Die sogenannte Business Judgment Rule.
Gutes Stichwort: Was ist bei der Anwendung der Business Judgement Rule konkret zu beachten?
Josef Scherer: Hier findet sich erneute eine Einbruchstelle für Risiko-, Chancen-und Compliancemanagement: Bei der Informationsgewinnung und -Bewertung im Wirkungskreis der Business Judgment Rule helfen anerkannte Methoden des Risiko- und Compliancemanagements, den Pflichtenrahmen des möglichen Handelns abzustecken und bzgl. der einzugehenden Risiken nicht "aus dem Bauch heraus" zu handeln. Diesbezüglich gibt es bereits anerkannte Standards.
Bezüglich der Entscheidungsfällung nach den Vorgaben der Business Judgment Rule schafft Risikomanagement Transparenz und gibt Grundsätze vor: Risiken- und Nutzenabwägung und Berücksichtigung der Risikotragfähigkeit des Unternehmens.
Obiger These folgend handelt ein Unternehmer nicht pflichtgemäß, wenn er – wie in der Praxis häufig anzutreffen – in Bezug auf Wissen und Fähigkeiten zur Führung eines Unternehmens erhebliche Defizite aufweist, nicht substituierend delegiert hat und das Unternehmen deshalb durch fehlerhafte unternehmerische Entscheidungen Verluste erleidet.
Welche Relevanz haben Standards? Bieten diese eine Garantie, dass der Stand von Wissenschaft und Praxis erfüllt wird?
Josef Scherer: Unter Umständen mögen "Standards" den "Anerkannten Stand von Wissenschaft und Praxis" widerspiegeln. Dies gilt es jedoch, im Einzelfall zu prüfen. Es gibt in Deutschland nach geltender Verfassung nur drei (!) Gewalten: Legislative und Judikative, Exekutive. Sachverständige gehören nicht dazu. Da die nachfolgend als "Standards" bezeichneten Anforderungen, Regeln und Regelwerke (beispielsweise DIN / ISO 9001:2015 für Qualitätsmanagement als einer der verbreitesten und am häufigsten zertifizierte Standard, aber auch DIS / ISO 19600:2014/ IDW PS 980:2011 für Compliancemanagement oder die OECD Principles of Corporate Governance:2015) von nicht hoheitlich tätigen, sondern privatrechtlich organisierten "Sachverständigengremien" (DIN/ISO/VDI/VDE/IDW/OECD etc.) erlassen werden, sind Standards in der Regel nicht durch eine der drei Gewalten legitimiert. Deshalb stellen sie auch keine Rechtsnormen dar. Auch als Auslegungsregeln für den Gesetzgeber oder die Rechtsprechung dürfen sie keine Anwendung finden, da keine Beeinflussung des Gesetzgebers oder der Judikative durch private Institutionen stattfinden darf. Gerade deshalb fungieren sie auch nicht als "freiwillige Selbstbindung" der Gerichte. Letztere werden gerade in keinster Weise gebunden, sich durch Vorgaben von Standards auf der Beurteilungsebene beeinflussen zu lassen.
Fazit: Sachverständige fungieren lediglich als Hilfe, um Sachverstand von Legislative, Judikative und Exekutive anzureichern. Dabei können "Standards" unter bestimmten Voraussetzungen als sogenannte "antizipierte Sachverständigengutachten" anzusehen sein.
Warum begehen Manager nach wie vor erhebliche Compliance-Verstöße?
Josef Scherer: Leichtfertigkeit, Naivität oder Unwissenheit sind Ursachen für Verstöße. Eine bessere Sensibilisierung und entsprechende Weiterbildung des Managements im Bereich Governance, Risk & Compliance könnte hier viel bewirken. Ein großes Defizit besteht vor allem im Bereich GRC-Basiswissen für Entscheider. Es fehlen in den grundlegenden Ausbildungen für das Management technische, juristische oder betriebswirtschaftliche Inhalte, die vor allem die Interdisziplinarität darstellen. Aber gerade das wäre sinnvoll, um Manager wieder zum Anführer im Compliance-Umfeld zu machen.
Wo sehen Sie den größten Handlungsbedarf in Forschung, Lehre und Ausbildung im Kontext Compliance bzw. GRC?
Josef Scherer: Es lassen sich zahlreiche (Forschungs)-Aufgaben im Bereich Governance und Compliance ausmachen, die nötig sind, um den Unternehmern und Aufsichtsorganen bei der Pflicht, das Richtige richtig zu tun (Unternehmen ordnungsgemäß zu führen und zu überwachen), Transparenz, Klarheit und Sicherheit zu verschaffen: 1. Die Suche nach einem global geltenden gemeinsamen Nenner von Werte- und Rechtssystemen und die Transparenz über wesentliche differierende Ansätze (vgl. die G20/OECD Principles of Corporate Governance, 11/2015); 2. Wirkende Motivatoren für "vernünftiges" Handeln und erforderliche politische und volkswirtschaftliche Rahmenbedingungen; 3. Die Verknüpfung von Industrie 4.0 und "GRC-Prozessen"; 4. Integrative, interdisziplinäre "GRC"-Managementsysteme; 5. Anpassung von Ausbildungssystemen an die Anforderungen künftiger GRC-Modelle; 6. Globales Verständnis, einheitliche Kommunikation und Standardisierungsansätze in Hinblick auf GRC; 7. Der Beweis und die Messung der Abhängigkeit von GRC-Reifegrad einerseits und Pflichterfüllungsgrad (Compliance), Wertbeitrag, Nachhaltigkeits- und Zielerreichungsgrad andererseits. Dies sind nur einige Beispiele für Forschungsaufgaben in den nächsten Jahren.
Die Berechnung finanzieller Wertbeiträge von ordnungsgemäßer, standard-unterstützter Unternehmensführung und -überwachung generell oder in Teildisziplinen unter Berücksichtigung von Reife- und Pflichterfüllungsgrad würde die Aufgeschlossenheit für vernünftiges und rechtskonformes Verhalten erheblich steigern und zugleich Wertbeitragsvernichter transparent machen: Wenn sich dann auch noch der Staat mit seinen drei Gewalten an diesen Ergebnissen orientieren würde, bestünde sogar die Hoffnung, unnötiger Regulierung und Bürokratie die Intransparenz willkürlichen Handelns zu entziehen.
Dr. jur. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf sowie Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk- und Compliance Management der Technischen Hochschule Deggendorf THD. Zuvor arbeitete er als Staatsanwalt und Richter in einer Zivilkammer an verschiedenen Landgerichten.
Neben seiner Tätigkeit als Seniorpartner der auf Governance, Risk & Compliance (GRC) spezialisierten Wirtschaftsrechtskanzlei Prof. Dr. Scherer, Dr. Rieger & Partner erstellt er wissenschaftliche Rechtsgutachten und agiert als Richter in Schiedsgerichtsverfahren. Von 2001 bis 2014 arbeitete er auch als Insolvenzverwalter in verschiedenen Amtsgerichtsbezirken. In Kooperation mit TÜV Süd und dem Kompetenzportal RiskNET konzipierte er als Studiengangsleiter und Referent den akkreditierten berufsbegleitenden Masterstudiengang Risikomanagement und Compliance Management an der Technischen Hochschule Deggendorf. Seine Forschungs- und Tätigkeitsschwerpunkte mit zahlreichen Publikationen liegen auf den Gebieten der Managerhaftung, Governance, Compliance- und Risikomanagement sowie des Vertragsmanagements, Produkthaftungsrechts, Krisen-, Sanierungs- und Insolvenzrechts.
[Die Fragen stellte Frank Romeike, Chefredakteur RiskNET sowie verantwortlicher Chefredakteur der Zeitschrift RISIKO MANAGER sowie Mitglied des Vorstands beim Institut für Risikomanagement und Regulierung (FIRM); Das Interview ist erstmalig in Ausgabe 02/2016 der Zeitschrift RISIKO MANAGER veröffentlicht worden.]